Création de requêtes LDAP avec Directory manager [console Web]

Outre la possibilité d'interroger la base de données principale à l'aide de requêtes de base de données, vous pouvez utiliser l'outil Directory Manager pour repérer des périphériques et y accéder dans d'autres annuaires, et pour les cibler via LDAP (Lightweight Directory Access Protocol).

Vous pouvez interroger des périphériques sur la base d'attributs spécifiques tels que le type de processeur ou le système d'exploitation. Vous pouvez également effectuer une interrogation sur la base d'attributs d'utilisateur spécifiques tels que l'ID d'employé ou le service.

Ajout d'un annuaire LDAP

Pour gérer un annuaire LDAP, vous devez l'ajouter à la liste de Directory Manager. Pour ce faire, vous devez connaître l'emplacement de l'annuaire sur votre réseau, ainsi que les références d'authentification nécessaires pour accéder à cet annuaire.

Pour ajouter un annuaire LDAP à Directory Manager
  1. Dans la boîte à outils de la console Web, cliquez sur Distribution > Directory Manager.
  2. Cliquez sur le bouton Nouveau répertoire de la barre d'outils.
  3. Entrez l'URL d'accès à l'annuaire. Vous n'avez pas besoin d'indiquer le préfixe « LDAP:// » de l'URL.
  4. Entrez un nom d'utilisateur et un mot de passe pour accéder à l'annuaire.
  5. Cliquez sur OK.

L'annuaire apparaît avec une icône d'arborescence dans le volet des outils Directory Manager. Vous pouvez aussi sélectionner un annuaire, puis cliquer sur le bouton Modifier de la barre d'outils pour afficher ses propriétés.

Affichage d'annuaires LDAP

Après avoir ajouté au moins un annuaire, vous pouvez afficher les éléments qu'il contient dans la vue d'arborescence de Directory Manager, qui affiche tous les annuaires et utilisateurs enregistrés.

Le volet des actions comporte deux onglets, Liste cible LDAP et Requêtes LDAP. Cliquez dessus pour afficher les objets LDAP ciblés et les requêtes LDAP que vous avez définies.

Ciblage d'objets LDAP

Vous pouvez sélectionner des objets dans l'arborescence Directory Manager et les cibler. Les périphériques figurant dans ces objets LDAP peuvent être sélectionnés comme cibles pour une action que vous souhaitez leur appliquer, comme la distribution de logiciels, ou l'analyse Correctif et conformité.

Pour cibler des objets LDAP
  1. Dans la boîte à outils de la console Web, cliquez sur Distribution > Directory Manager.
  2. Naviguez dans l'arborescence Directory Manager et sélectionnez un objet dans l'annuaire LDAP.
  3. Sélectionnez un ou plusieurs éléments dans la liste Ressources d'annuaire, puis cliquez sur le bouton Cibles LDAP de la barre d'outils.
  4. Sélectionnez l'outil à appliquer aux périphériques ciblés. Les éléments que vous avez ciblés s'affichent dans la zone Liste cible de l'outil.

Création de requêtes d'annuaire LDAP

Vous pouvez créer une requête qui renvoie des résultats pour un objet d'annuaire, comme une organisation racine (o), un composant de domaine (dc) ou une unité organisationnelle (ou).

Pour créer une requête LDAP
  1. Dans la boîte à outils de la console Web, cliquez sur Distribution > Directory Manager.
  2. Naviguez dans l'arborescence Directory Manager et sélectionnez un objet dans l'annuaire LDAP. La requête que vous créez renverra des résultats à partir de ce point de l'arborescence, vers le bas.
  3. Cliquez sur le bouton Nouvelle requête LDAP de la barre d'outils.
  4. Entrez un nom descriptif pour la requête.
  5. Sélectionnez l'attribut LDAP qui servira de critère pour la requête.
  6. Cliquez sur un opérateur de comparaison pour la requête (=,<=, >=) et sur une valeur d'attribut. Si vous sélectionnez Contient ou Existe, aucune valeur n'est nécessaire.
  7. Si la requête est complexe, sélectionnez AND (ET) ou OR (OU) pour joindre cette instruction à la suivante.
  8. Cliquez sur Insérer pour ajouter l'instruction.
  9. Créez des instructions supplémentaires en répétant les étapes 5 à 8.
  10. Pour rendre une instruction négative, sélectionnez-la et cliquez sur NOT (NON). Pour supprimer une instruction, sélectionnez-la et cliquez sur Supprimer.
  11. Une fois la requête terminée, cliquez sur Test pour vérifier que la requête renvoie des résultats.
  12. Si vous souhaitez modifier la requête et utiliser la syntaxe LDAP libre, cliquez sur Avancé. La requête s'ouvre dans une fenêtre de modification qui permet d'utiliser n'importe quelle option de syntaxe.
  13. Lorsque vous avez terminé, cliquez sur Enregistrer. La requête enregistrée s'affiche dans l'onglet Requêtes LDAP du volet des actions Directory Manager.

Boîte de dialogue Requête LDAP avancée

Dans la boîte de dialogue Requête LDAP de base, cliquez sur Avancé pour ouvrir la boîte de dialogue Requête LDAP avancée. La boîte de dialogue Requête LDAP avancée s'affiche également lorsque vous modifiez une requête déjà créée.

  • Nom : Nom de la requête LDAP. Modifiez ce nom pour créer une copie d'une requête existante.
  • Racine de requête LDAP : Affiche l'objet racine de l'annuaire pour cette requête. La requête que vous créez renverra des résultats à partir de ce point de l'arborescence, vers le bas.
  • Requête LDAP : Créez une requête LDAP au format libre.
  • Tester : Cliquez sur cette option pour exécuter un test de la requête que vous avez créée.

Informations supplémentaires sur le protocole LDAP

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole standard qui permet de visualiser et d'accéder à des informations sur les utilisateurs et les périphériques. Le protocole LDAP permet d'organiser et de stocker ces informations dans un répertoire. Un annuaire LDAP est dynamique dans la mesure où il peut être mis à jour suivant les besoins et qu'il est distribué, ce qui le protège d'un point d'échec unique.

Les exemples suivants décrivent comment utiliser des requêtes LDAP pour effectuer une recherche dans l'annuaire :

  • Obtenir toutes les entrées : (objectClass=*)
  • Obtenir les entrées contenant « robert » à tout emplacement du nom usuel : (cn=*robert*)
  • Obtenir les entrées contenant un nom usuel supérieur ou égal à « robert » : (cn>='robert')
  • Obtenir tous les utilisateurs ayant un attribut d'e-mail : (&(objectClass=utilisateur (email=*)
  • Obtenir toutes les entrées utilisateur ayant un attribut d'e-mail et un nom de famille égal à « legrand » : (&(sn=legrand (objectClass=utilisateur (email=*)
  • Obtenir toutes les entrées utilisateur ayant un nom usuel qui commence par « andré », « stéphane » ou « marguerite » : (&(objectClass=utilisateur) (| (cn=andré*)(cn=stéphane*)(cn=marguerite*)))
  • Obtenir toutes les entrées sans attribut d'e-mail : (!(email=*))

La définition formelle du filtre de recherche est la suivante (selon la norme RFC 1960) :

  • <filter> ::= '(' <filtercomp> ')'
  • <filtercomp> ::= <and> | <or> | <not> | <item>
  • <and> ::= '&' <filterlist>
  • <or> ::= '|' <filterlist>
  • <not> ::= '!' <filter>
  • <filterlist> ::= <filter> | <filter> <filterlist>
  • <item> ::= <simple> | <present> | <substring>
  • <simple> ::= <attr> <filtertype> <value>
  • <filtertype> ::= <equal> | <approx> | <ge> | <le>
  • <equal> ::= '='
  • <approx> ::= '~='
  • <ge> ::= '>='
  • <le> ::= '<='
  • <present> ::= <attr> '=*'
  • <substring> ::= <attr> '=' <initial> <any> <final>
  • <initial> ::= NULL | <value>
  • <any> ::= '*' <starval>
  • <starval> ::= NULL | <value> '*' <starval>
  • <final> ::= NULL | <value>

Le jeton <attr> est une chaîne représentant un type d'attribut. Le jeton <value> est une chaîne représentant une valeur d'attribut dont le format est défini par un service de répertoire sous-jacent.

Si une valeur doit contenir un des caractères * ou ( ou ), faites précéder le caractère d'une barre oblique inverse (\).